OWASP Dependency-Check翻译站点

OWASP Dependency-Check 是国际知名安全组织OWASP（开放式Web应用程序安全项目）旗下的一款开源工具，专门用于识别项目所依赖的第三方库、框架中已知的公开漏洞。它通过扫描项目的依赖声明文件或二进制文件，并与公共漏洞数据库进行比对，帮助开发和安全团队自动化地发现依赖组件中的安全风险，从而有效应对供应链攻击，是保障软件供应链安全的关键一环。

主要功能

该工具不仅仅是一个简单的版本匹配器，它提供深入的分析功能：

• 多格式依赖识别：能够自动解析 Maven、Gradle、Node.js (npm)、Python (pip)、Ruby (Bundler)、.NET (NuGet)、Go 等多种生态系统的依赖管理文件，并识别其中声明的组件。
• 二进制文件扫描：除了依赖文件，它还能直接扫描 JAR、WAR、EAR、DLL、EXE 等二进制文件，提取其文件指纹（如 SHA1 哈希）以进行更精确的匹配，尤其适用于分析遗留系统或未明确声明依赖的部署包。
• 集成已知漏洞数据库：工具的核心引擎会定期同步 NVD（美国国家漏洞数据库）、NPM 安全公告等多个权威漏洞数据源，确保扫描结果基于最新的威胁情报。
• 生成详细报告

  ：扫描完成后，它会生成包括 HTML、XML、JSON、CSV 在内的多种格式报告。报告不仅列出存在漏洞的依赖项，还会关联CVE编号、CVSS严重等级分数、漏洞描述和官方参考链接，便于风险定级和追踪。

• 构建流程集成：可以无缝集成到 CI/CD 流水线（如 Jenkins、GitLab CI、GitHub Actions）中，实现“左移安全”，在代码构建阶段就自动进行安全检查，并可根据策略设置构建失败的门槛。
• 抑制误报：提供灵活的抑制文件机制，允许开发团队基于CVE编号、依赖包名等条件，将已验证的误报或已接受的风险标记为“抑制状态”，避免在后续扫描中重复告警，提升结果的可信度。